Viola la privacy il medico che appende le prescrizioni mediche sul davanzale della propria finestra

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Il Garante per la protezione dei dati personali aveva ricevuto una segnalazione da parte del Comando dei Carabinieri, nella quale veniva edotto del fatto che i militari dell’arma avevano condotto indagini sulle modalità con le quali una dottoressa consegnava ai suoi pazienti le prescrizioni mediche, accertando che le stesse, come si legge nel provvedimento, “venivano fissate a pinze da bucato attaccate ad un asse di lego appoggiato al davanzale della finestra dello studio medico, situato al piano terra e rivolto sul marciapiede della pubblica via”.

In considerazione di ciò, il Garante richiedeva informazioni alla Dottoressa interessata, la quale forniva risposta affermando che, innanzitutto, i fatti oggetto di segnalazioni avevano carattere episodico legato alla situazione di emergenza pandemica, tenuto conto sia “dell’importanza del corretto trattamento del dato personale” sia del fatto che le prescrizioni non venivano lasciate incustodite; poi, la stessa specificava che, data la situazione emergenziale, era importante fare ricorso alla ricetta dematerializzata, nonostante il regime di non obbligatorietà.

L’Autorità inviava alla stessa una nota per comunicarle l’avvio del procedimento a suo carico e per invitarla a far pervenir scritti difensivi ovvero per richiedere di essere sentita dalla stessa Autorità. Nello stesso atto, il Garante specificava che ai sensi dell’art. 5, par.1, lett. f) i dati personali, in virtù del principio di integrità e riservatezza, devono essere trattati in modo da garantire un’adeguata riservatezza, anche al fine di impedire l’accesso o l’utilizzo non autorizzato di dati e dei mezzi impiegati per la procedura di trattamento stessa.

Inoltre, per lo specifico ambito sanitario, l’art. 83 del Codice privacy prevede che i soggetti di cui agli artt. 78, 79 e 80 dello stesso (ossia, rispettivamente: il medico di medicina generale o il pediatra; le strutture pubbliche o private operanti in ambito sanitario; i soggetti competenti di servizi o strutture di altri soggetti pubblici, diversi da quelli ex art. 79, operanti in ambito sanitario o della protezione e sicurezza sociale) devono adottare “misure idonee a garantire il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, fermo restando quanto previsto dalle leggi e dai regolamenti in materia di modalità di trattamento dei dati sensibili e di misure minime di sicurezza”.

Infine il Garante affermava che, ai sensi dell’art. 9 del GDPR e dell’art. 84 del Codice privacy, le informazioni relative allo stato di salute di un soggetto possono essere comunicate a terzi solo in presenza di un idoneo presupposto giuridico o previa delega dell’interessato e indicazione dello stesso.

In considerazione di tutto ciò, il Garante accertava che la dottoressa aveva attuato un trattamento dei dati personali non conforme alle disposizioni dettate in materia, violando in particolare sia il disposto degli artt. 5 e 9 sia l’art. 32 del GDPR, in virtù del quale il titolare del trattamento deve adottare misure adeguate al fine di garantire e dimostrare la conformità del trattamento alle disposizioni del Regolamento.

Leggi l’Ordinanza ingiunzione del 28 ottobre 2021 del Garante per la protezione dei dati personali

Le memorie difensive

Negli scritti difensivi fatti pervenire al Garante e durante l’audizione innanzi all’Autorità, la dottoressa specificava quanto segue:

  • dichiarava, innanzitutto, che le prescrizioni mediche venivano apposte in buste chiuse custodite da lei stessa, in quanto sempre presente presso il suo ambulatorio;
  • dichiarava che la modalità adottata era richiesta in forza della situazione sanitaria emergenziale, che non sarebbe stata adottata in una situazione di normalità;
  • specificava che per mezzo della modalità contestata poteva garantire ingressi contingentati nel proprio ambulatorio (limitazione che era stata incoraggiata da un’ordinanza della protezione civile);
  • specificava, inoltre, durante l’audizione, che le buste contenevano non ricette mediche, bensì avvisi sulle corrette modalità di contenimento del contagio da Covid-19;
  • precisava, poi, che nessuno dei suoi pazienti aveva reclamato a fronte delle modalità contestate.

Conclusioni del Garante

A seguito dell’esame degli scritti difensivi e dall’audizione della stessa, il Garante ha accertato che la stessa aveva violato quanto disposto negli artt. 5, 9 e 32 del GDPR.

In particolare, il Garante ha ricordato che l’art. 5 del GDPR stabilisce i principi in materia di trattamento dei dati personali i quali devono essere posti a fondamento della procedura attuata: si tratta dei principi di liceità, correttezza, trasparenza, di minimizzazione, conservazione, integrità dei dati.

L’art. 9, invece, formalizza il divieto generale di trattamento dei dati definiti “sensibili”, in riferimento a categorie particolari di dati personali, tra i quali vi rientrano i dati idonei a fornire informazioni, anche indirettamente, sulla salute dell’interessato.

Infine, l’art. 32, come sopra detto, dispone che il titolare del trattamento è obbligato a predisporre misure organizzative e tecniche, da aggiornare periodicamente, idonee a garantire e dimostrare la conformità del trattamento stesso alle norme del GDPR.

Il Garante,  ha ritenuto insufficienti le deduzioni riportate dalla dottoressa al fine di consentire l’archiviazione del caso. Infatti, l’Autorità ha ritenuto che le ragioni addotte dalla stessa per giustificare l’adozione delle modalità contestate non sono avvalorate da idonee valutazioni di carattere tecnico e giuridico.

Inoltre, il Garante ha precisato che, grazie alla documentazione fotografica allegata alla segnalazione, è stato possibile accertare che le prescrizioni mediche apposte sul davanzale della finestra erano liberamente visibili e accessibili a chiunque si trovasse a transitare nei pressi della finestra dello studio medico, in quanto non erano contenuti in una busta chiusa, come, invece, affermato dalla dottoressa nelle memorie e durante l’audizione.

Pertanto, l’Autorità ha concluso che la dottoressa aveva attuato un trattamento dei dati personali non conforme delle disposizioni in materia di trattamento dei dati personali, violando il disposto degli artt. 5, 9 e 32 del GDPR.

In considerazione di ciò, il Garante per la protezione dei dati personali  ha adottato l’ordinanza ingiunzione in commento, ordinando alla dottoressa di pagare, a titolo di sanzione amministrava pecuniaria, la somma di €.10.000, oltre ad infliggere la sanzione accessoria di pubblicazione del provvedimento in questione sul sito web del Garante.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it